It-serviceproviders hebben tegenwoordig te maken met veel uitdagingen. Door de populariteit van cloudtechnologie leveren zij veel diensten voor klanten nu off site, in de cloud. Dit heeft onmiddellijk effect op de omzet en winstgevendheid. IDaaS (identity as a service) biedt je business veel voordelen en je klanten dynamische oplossingen.
Ja, IDaaS is er weer een uit een lange lijst met ‘X as a service’-aanbiedingen, maar toch is het een van de belangrijkste voor it-bedrijven. Identity as a service (IDaaS) geeft je inzicht waarmee jij kunt inspelen op de meest uitdagende pijnpunten voor kleine, middelgrote en grote bedrijven. Namelijk password management en veiligheid.
Voordelen
IDaaS biedt bedrijven veel voordelen, maar een van de belangrijkste is dat je met de dynamische oplossingen die je je klanten biedt ook je omzet kunt verhogen. Nu je klanten steeds vaker op de cloud vertrouwen, stijgt de behoefte naar identiteits- en password management alleen nog maar meer. Denk in dat verband ook aan de opkomst van nieuwe bedreigingen voor bedrijfsdata, en de eis voor stevige controles op dit gebied, die steeds zichtbaarder wordt.
Maar je klanten kunnen dit niet helemaal alleen. Wachtwoordmanagement op zich is al lastig met slechts een of twee platformen. Voeg daar nog eens web-, social media- en crm-platformen en tientallen andere potentiële items aan toe en het wordt een ware nachtmerrie. Bovendien moet je de mindset van de werknemers van je klanten begrijpen.
De realiteit is dat zij zwakke wachtwoorden zullen gebruiken. Zij zullen dezelfde wachtwoorden hergebruiken voor verschillende sites, accounts en platformen. Zij zullen hun wachtwoorden ergens opschrijven om ze te kunnen onthouden, en er is een grote kans dat deze informatie ergens ligt waar iedereen het kan vinden en gebruiken. Zij zullen hun wachtwoorden met collega’s delen en mogelijk het bedrijf in gevaar brengen door de ipaa- of pci-regels niet na te leven. Dit is de realiteit waar je klanten elke dag mee te maken krijgen. En met IDaaS verander je deze realiteit.
Met IDaaS bied je je klanten niet alleen een oplossing voor al deze behoeften. Het doet nog meer dan dat. Het geeft hen kennis over waar hun data is, wie er controle over heeft en wie het gebruikt en hoe.
IDaaS doet nog meer
Er zijn ook andere voordelen voor jouw bedrijf. Zo kun je met het juiste IDaaS-platform bijvoorbeeld de loyaliteit van klanten verhogen, waarmee je de kans verkleint dat ze overlopen naar een concurrent. Het vergroot daarnaast je bereik zonder dat je je kosten of inspanningen drastisch moet verhogen. Als je klanten eenmaal gewend zijn aan de wachtwoordmanagementtools, zullen zij niet meer terug willen naar hun oude manier van werken.
Laten we afsluiten met de drie belangrijkste onderdelen van elke IDaaS-oplossing en hoe ze van toepassing zijn op jouw klanten (en de waarde van je aanbod vergroten).
- Wachtwoordmanagement automatiseert het proces en beveiligt informatie, en voorkomt dat werknemers zwakke wachtwoorden gebruiken en hergebruiken.
- Eenmalig aanmelden zorgt ervoor dat zij slechts één set inloggegevens nodig hebben voor alle platformen.
- Multifactor-authenticatie biedt je een set van inloggegevens die bijna niet te stelen zijn.
Het dienstenaanbod blijft een lastig onderwerp. Deze drie onderdelen verbeteren het huidige aanbod. Veel geluk met jouw IDaaS-inspanningen.
Het onderscheid tussen extern en intern vervaagt. Dat geldt voor users, devices en applicaties. Daarmee veranderen de IAM principes waar we 15 jaar op gebouwd hebben.
De tijd van RBAC is voorbij, net als de tijd van least privileges.
ABAC + Context is het nieuwe paradigma voor het beheren van toegang.
Identity Providers (zoals Facebook, DigiD en de eigen AD) bieden attributen van verschillende betrouwbaarheidsniveaus aan. In de toekomst zullen we nog eerder spreken over Attribute Providers dan Identity Providers.
De Authenticatie Service evalueert de attributen in combinatie met de context, bepaalt het risicoprofiel en besluit of er toegang wordt verleend.
Binnen de applicatie wordt bepaald wat iemand mag. Hier lag de rol van enterprise-RBAC, maar die is uitgespeeld. Gebleken is dat dit te complex is om te beheren. Het schaalt inderdaad niet… ondanks 10jr BHOLD :).
De reactie van Lex voor het uit elkaar halen van IM en AM sluit hier helemaal op aan.
Met deze constatering is ook de rol van de enterprise identity suites uitgespeeld en biedt IDaaS een platform dat wel geschikt is voor deze nieuwe ontwikkelingen.
Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd.
Het onderscheid tussen extern en intern vervaagt. Dat geldt voor users, devices en applicaties. Daarmee veranderen de IAM principes waar we 15 jaar op gebouwd hebben.
De tijd van RBAC is voorbij, net als de tijd van least privileges.
ABAC + Context is het nieuwe paradigma voor het beheren van toegang.
Identity Providers (zoals Facebook, DigiD en de eigen AD) bieden attributen van verschillende betrouwbaarheidsniveaus aan. In de toekomst zullen we nog eerder spreken over Attribute Providers dan Identity Providers.
De Authenticatie Service evalueert de attributen in combinatie met de context, bepaalt het risicoprofiel en besluit of er toegang wordt verleend.
Binnen de applicatie wordt bepaald wat iemand mag. Hier lag de rol van enterprise-RBAC, maar die is uitgespeeld. Gebleken is dat dit te complex is om te beheren. Het schaalt inderdaad niet… ondanks 10jr BHOLD :).
De reactie van Lex voor het uit elkaar halen van IM en AM sluit hier helemaal op aan.
Met deze constatering is ook de rol van de enterprise identity suites uitgespeeld en biedt IDaaS een platform dat wel geschikt is voor deze nieuwe ontwikkelingen.
Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd.
Interessante ontwikkeling die IM/AM en ABAC. Bij ABAC kent de AM ontwerper blijkbaar attributen toe aan entiteiten zoals bijv users en objecten waar die toegang op zouden kunnen hebben en de combinatie van die attribuutwaarden bepaalt de toegang. Die combinatie van waarden en toegagsresultaat worden de rules. Dat scheelt inderdaad een hoop rol gedefinieer bekend vanuit RBAC en je bent meteen van conflicting rollen af.
Nog meer interesting stuf op http://altmode.org/2014/03/24/identity-and-attribute-providers/ :
“In the broader context of NSTIC, there are several reasons why identity providers and attribute providers can’t be one and the same:
Different attribute providers are authoritative for different attribute classes – In an enterprise, the enterprise itself is authoritative for nearly all attributes of interest. But in the broader NSTIC use case, there isn’t a common point that all parties trust. Users typically will have different providers for different types of attributes: proof that you’re a full-time student might come from your school district or university, an assertion that you’re an adult might come from your motor vehicle department, and your credit-worthiness might come from one of the major credit bureaus. Requiring these all to be asserted by the identity provider requires it to be trusted by basically everyone, and that’s hard to achieve.”
@Henri ‘maar ik zie er geen principieel bezwaar tegen om deze uit 1 product te halen’ –> Ik ook niet, maar doe dat on-premises (dank voor de taalverbetering 🙂 bij je eigen bedrijf of bij de cloud provider.
OATH OTPs kun je met of zonder PIN/wachtwoord gebruiken – het is helemaal 2FA/risk-based in te richten. Hoeft niet een SMSje of alert te zijn, kan gewoon ook een time-based teller zijn in een app. Flexibiliteit zat.
Rollen schalen niet naar de cloud. Ze vertellen slechts een deel van de toegangsvraag. Databereik is een belangrijk aspect, dat leidt je af uit b.v. de afdeling, regio of een klantnummer. In de cloud werk je steeds meer met partners en (potentiele) klanten die je niet kent. Daar zelf een IAM enrolment voor doen en vervolgens een provisioning naar je provider is niet handig en ook niet eenvoudig veilig in te regelen. Denk hierbij vooral aan het gebruik van meerdere providers, die ieder hun diensten in multi-tenancy aanbieden. Het wordt een n:m landschap.
Facebook de klant laten authenticeren en je provider de klantkoppeling laten maken is dan handiger. Evt. de klant toegang zelf laten beheren met Oauth kan ook, zoals je noemde.
IAM suites verdwijnen niet, maar worden wel een niche-product, tenzij ze in dit landschap ook mee gaan spelen.
@Maarten ‘Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd’ –> Ik heb jaren gewacht op de doorbraak van biometrie. Vooral vanwege de privacyproblemen zie ik die niet komen. Als biometrie toegepast wordt, wordt het op het endpoint afgevangen. Gebruiker self-service dus, buiten de enterprise om.